Vercel, công ty đứng sau Next.js, xác nhận bị tấn công mạng

Vercel, công ty nổi tiếng với việc tạo ra Next.js và cung cấp nền tảng đám mây frontend, đã xác nhận vào Chủ nhật vừa qua rằng hệ thống của họ đã bị xâm nhập trái phép. Thông tin này được đưa ra sau khi một tin tặc tự xưng là ShinyHunters tuyên bố đang rao bán dữ liệu bị đánh cắp từ công ty với giá 2 triệu USD.

Vercel

Chi tiết vụ tấn công

Vào ngày 19 tháng 4, một tin tặc sử dụng biệt danh ShinyHunters đã đăng bài trên diễn đàn BreachForums để chào bán cơ sở dữ liệu, khóa truy cập, tài khoản nhân viên và mã nguồn của Vercel. Kẻ tấn công thậm chí nhận định rằng: "Đây có thể là cuộc tấn công chuỗi cung ứng lớn nhất từng có nếu thực hiện đúng cách".

Trong thông báo chính thức về sự cố an ninh mạng, Vercel xác nhận rằng họ đã phát hiện sự truy cập trái phép vào một số hệ thống nội bộ. Hiện tại, công ty cho biết cuộc điều tra vẫn đang diễn ra, nhưng họ đã xác nhận rằng thông tin đăng nhập của một "nhóm nhỏ khách hàng" đã bị xâm phạm. Những người dùng bị ảnh hưởng đã được thông báo và được yêu cầu đặt lại thông tin đăng nhập để đảm bảo an toàn.

Nguyên nhân và lỗ hổng bảo mật

Theo điều tra ban đầu, vụ việc bắt nguồn từ việc bị xâm phạm Context.ai, một công cụ AI bên thứ ba được một nhân viên Vercel sử dụng. Kẻ tấn công đã tận dụng lỗ hổng này để chiếm đoạt tài khoản Google Workspace của nhân viên Vercel. Từ đó, chúng đã truy cập được vào một số môi trường của Vercel và các biến môi trường (environment variables) không được đánh dấu là "nhạy cảm".

Guillermo Rauch, CEO của Vercel, đã giải thích rõ hơn về cơ chế bảo mật của công ty trên mạng xã hội X. Ông khẳng định Vercel lưu trữ tất cả các biến môi trường của khách hàng dưới dạng mã hóa hoàn toàn khi nghỉ và áp dụng nhiều cơ chế phòng thủ nhiều lớp để bảo vệ hệ thống cốt lõi cũng như dữ liệu khách hàng.

Tuy nhiên, ông cũng thừa nhận rằng công ty có khả năng chỉ định một số biến môi trường là "không nhạy cảm". Thật không may, kẻ tấn công đã khai thác được lỗ hổng này thông qua việc liệt kê (enumeration) các biến để truy cập sâu hơn vào hệ thống.

Đánh giá từ chuyên gia và tình hình hiện tại

Công ty tình báo mối đe dọa Hudson Rock, chuyên về phần mềm đánh cắp thông tin (infostealer malware), báo cáo rằng phần mềm đánh cắp thông tin Lumma đã lấy được thông tin đăng nhập của một nhân viên Context.ai vào tháng 2 năm 2026. Sự kiện này được cho là đã tạo điều kiện thuận lợi cho cuộc tấn công vào Vercel sau đó.

Hiện tại, bài đăng rao bán dữ liệu Vercel trên BreachForums dường như đã bị xóa. Tuy nhiên, nhóm ShinyHunters đã phủ nhận trách nhiệm về vụ tấn công này. Cộng đồng an ninh mạng đang chờ đợi xem liệu nhóm tội phạm mạng này có công khai tên Vercel trên trang web rò rỉ dữ liệu của họ hay không.

Vercel cam kết sẽ chia sẻ thêm thông tin chi tiết khi cuộc điều tra có thêm tiến triển mới. Vụ việc này một lần nữa nhắc nhở cộng đồng công nghệ về những rủi ro bảo mật khi sử dụng các công cụ bên thứ ba và tầm quan trọng của việc phân loại đúng mức độ nhạy cảm của dữ liệu trong môi trường phát triển.